최후의 시도: 전자 상거래가 GDPR을 사용할 준비가 되었는지 확인

게시 됨: 2018-05-24

일반 데이터 보호 규정(General Data Protection Regulation) 원칙이 시행될 때까지 불과 몇 시간 남지 않았습니다. 즉, 전자 상거래 비즈니스의 모든 EU 요구 사항에 대한 GDPR 준수를 확인하는 데 아직 시간이 부족합니다.

이 게시물에서 우리는 귀하의 사용자의 개인 데이터를 통제하고 처리하는 법에 대한 가장 필요한 정보를 간단히 제공하려고 노력할 것입니다. 또한 GDPR이 어떻게 작동하는지 자세히 조사할 수 있는 유용한 링크를 포함합니다. 또한 2018년 5월 25일 이후에 부과되는 막대한 벌금을 피하는 데 도움이 될 수 있는 짧은 GDPR 체크리스트를 이 게시물 하단에서 찾을 수 있습니다.

GDPR: 뿌리와 열매

2010년에 유럽 위원회는 EU 데이터 보호 규칙을 강화하고 현재는 구식인 EU의 1995년 데이터 보호 지침과 1998년 영국 데이터 보호법을 개정하는 전략을 수립했습니다.

그들은 EU 시민을 대상으로 설문 조사를 실시했는데 사용자의 61%가 전자 상거래 웹사이트의 개인 정보 보호에 대해 걱정하고 있으며 우려의 절반 이상(55%)이 온라인 쇼핑 사기에 관한 것으로 나타났습니다.
설문조사에 따르면 응답자의 75%는 원할 때마다 온라인에서 개인 정보를 요청하고 삭제할 수 있기를 원합니다. 그리고 90% 이상의 사람들이 유럽 전역에서 동일한 데이터 보호 권한을 갖기를 원했습니다.

구독하여 최신 소식을 확인하고 받은 편지함에서 즉시 실행 가능한 마케팅 팁을 받아보세요.

6년 동안 유럽 위원회는 사용자 데이터 보호 원칙과 이를 전 세계 인터넷에 구현하는 효율적인 방법을 정교화했습니다. 그리고 마침내 2016년에 GDPR이 EU 의회를 통과했습니다. 이러한 원칙을 일반적으로 고려해 보겠습니다.

GDPR 원칙

  • 합법성, 정의 및 투명성
    방문자에게 제공하는 모든 동의는 간단하고 명확한 언어로 작성해야 합니다. 귀하의 개인 정보 보호 정책 및 서비스 약관도 포함됩니다. 소비자 또는 잠재 고객에게 보내는 모든 종류의 이메일에는 '구독 취소' 버튼이 포함되어야 하고 그들이 귀하의 이메일을 받은 이유에 대한 설명으로 구성되어야 합니다. 유럽 ​​연합은 고객이 처리하는 데이터의 목적, 방법 및 양에 대해 알 권리가 있어야 한다고 요구합니다.
  • 적절성, 관련성 및 제한성
    GDPR은 관련 없는 개인 데이터와 귀하가 보유하고 있는 가명 사용자 데이터를 최소화하기 위해 노력합니다. 이메일 마케팅, 콜드 이메일 전송에 사용할 데이터만 수집하고 불필요하거나 수동적인 연락처는 제거해야 합니다.
  • 정확성
    보유하고 있는 개인 데이터는 정확하고 최신 상태여야 합니다. 이를 위해서는 고객이 원할 때마다 개인 정보를 변경할 수 있는 기회가 있어야 합니다. 또한 회사에서 처리하는 개인 데이터에 대한 정보를 요청하고 잊혀질 권리를 행사할 수 있습니다.
  • 저장 제한
    처리 목적에 필요한 것보다 더 이상 개인 데이터를 보유해서는 안 됩니다. 어쨌든 컨트롤러는 지금까지 데이터 보존에 대한 시간 제한을 설정하지 않았습니다. 따라서 이 원칙은 '잊혀질 권리'라는 관점에서 고려되어야 한다.
  • 무결성 및 기밀성
    데이터 소유자의 동의 없이 고객의 다른 사람 또는 회사의 개인 데이터를 공유하거나 판매해서는 안 됩니다. 모든 회사는 데이터베이스에 대한 책임이 있으며 보안을 적절히 관리해야 합니다.

GDPR 개인 데이터 목록

법률에서 '개인 데이터'라는 용어는 '살아 있거나 식별되거나 식별 가능한 자연인과 관련된 모든 정보'로 정의됩니다. 이러한 원칙은 EU 시민의 데이터를 보유하고 추적하는 모든 공공 기관에 적용됩니다.

따라서 다음과 같은 경우 GDPR이 우려됩니다.

  • 당신의 고객과 잠재 고객은 유럽 연합 시민입니다.
  • 귀하의 이메일 구독자는 EU 출신입니다.
  • 콜드 이메일 마케팅을 위한 귀하의 데이터베이스는 EU 거주자의 개인 데이터로 구성됩니다.

전자 상거래 웹 사이트가 WordPress, Magento, WooCommerce 또는 Joomla를 사용하여 구축되었거나 자체 CMS에서 사이트를 개발했는지 여부는 중요하지 않습니다. GDPR은 사용자와 개인 데이터 보안에 관한 것 입니다.

GDPR에서 '개인 데이터'란 무엇입니까?

  • 이름;
  • 식별 번호
  • 위치 데이터;
  • 쿠키 식별자
  • 온라인 식별자
  • 생체 데이터;
  • 소득;
  • 피험자의 "신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성"과 관련된 하나 이상의 요인으로 개인을 식별하는 데 도움이 됩니다.

GDPR 수수료

GDPR 원칙은 불이행에 대한 막대한 벌금으로 인해 많은 화제를 불러일으켰습니다. 가장 큰 벌금은 최대 20,000,000유로 또는 이전 회계연도의 전 세계 연간 매출의 최대 4% 중 더 높은 금액이 될 수 있습니다. 이것이 대다수의 대기업이 GDPR 준수에 백만 달러 이상을 지출하기로 결정한 이유입니다.
그러나 모든 상황은 고유하므로 벌금 규모는 일대일로 추정된다는 점을 기억해야 합니다.
일반적으로 소매 회사에 벌금을 부과할 수 있는 두 가지 주요 이유는 개인 데이터의 대량 누출과 민감한 개인 데이터 위반입니다.

데이터 보호 전문가

이것은 시작해야 하는 필수 단계입니다(아직 수행하지 않은 경우). 전자 상거래 회사에는 모든 GDPR 세부 정보를 알고 있고 고객의 데이터 보호를 담당할 변호사/변호사가 있어야 합니다. 공개 위험이 높은 민감한 데이터를 보유 및 처리하거나 데이터의 대규모 위반이 예상되는 경우 데이터 보호 담당자를 고용해야 합니다.
그들의 책임 중에는 특히 회사가 새로운 솔루션, 양식, 마케팅 이메일을 테스트하고 새로운 웹사이트 인터페이스 또는 앱을 개발하는 경우 고객의 불만에 응답하고 전자상거래 웹사이트 GDPR 준수를 모니터링하는 것이 있습니다.
또한 데이터 보호 담당자(또는 전문가)는 시스템 장애, 해킹 공격 또는 고객의 보안에 심각한 결과를 초래할 수 있는 기타 문제인 경우 데이터 침해 알림을 72시간 이내에 ICO에 알려야 합니다.

GDPR은 전자상거래에 좋은가요?

일반 데이터 보호 규정은 온라인 소매 부문에 긍정적인 영향을 미칠 수 있고 또 그렇게 될 것입니다. 이를 통해 고객의 신뢰와 충성도를 높이고 결제 프로세스에 대한 신뢰를 높일 수 있습니다. 그렇기 때문에 고객에게 최선의 방법으로 개인 데이터 비공개를 처리할 것임을 알리는 것이 좋습니다.

GDPR 전자상거래 체크리스트

기본 GDPR 문서에는 수많은 요구 사항과 세부 정보가 있습니다. 그러나 우리는 이 체크리스트에 가장 필요한 것을 포함시키려고 노력했습니다. 웹사이트, 이메일, 문의 양식 및 모든 동의 양식에 구현해야 할 사항이 누락되지 않았는지 확인하려면 여기를 참조하십시오.

데이터 보호 전문가

  • 데이터 처리자로서 민감한 데이터를 처리하는 경우 데이터 보호 전문가 또는 데이터 보호 담당자를 고용했습니다.

동의 준수 체크리스트

  • 귀하의 동의는 고객이 자신의 개인 정보가 무엇을 위해 처리되는지 쉽게 이해하고 동의한 내용도 명확하게 이해할 수 있도록 간단하고 명확하게 작성됩니다.
  • 귀하의 동의 양식은 명시적입니다. 여기에는 기본적으로 미리 선택된 상자나 다른 동의가 포함되어 있지 않습니다.
  • 긍정적인 동의가 있는 '답변 버튼'은 다른 색상으로 강조 표시되지 않습니다.
  • 귀하의 동의 양식은 눈에 잘 띄며 이용약관 섹션과 구분됩니다.
  • 양식 하단에 조직 및 제3자의 이름을 지정했습니다.
  • 귀하는 귀하의 고객이 이 동의를 거부할 수 있음을 지적했습니다.
  • 고객이 동의를 철회하는 방법을 설명했습니다.
  • 온라인 고객이 어린이일 수 있다고 예상하거나 알고 있는 경우 동의 양식에 연령 확인 및 부모 동의 요청이 포함됩니다.

여기에서 GDPR 친화적인 동의 양식 템플릿을 만드는 방법에 대한 몇 가지 옵션을 찾을 수도 있습니다.
콘텐츠 요구 사항에 대한 자세한 내용은 영국의 ICO GDPR 동의 지침을 참조하십시오.

개인정보 보호정책 GDPR 준수 체크리스트

  • 이미 서비스 약관 및 개인 정보 보호 정책을 검토했습니다. 그리고 당신은 이것이 고객을 위해 명확한 언어로 작성되었다고 확신합니다. 개인 정보 보호 정책은 사용자 데이터를 처리하는 방법에 대한 설명과 사용자 데이터를 처리하는 데 사용하는 타사 서비스 목록으로 구성됩니다.
  • 귀하는 귀하의 웹사이트에서 귀하의 고객이 귀하가 보유한 정보를 요청하거나 귀하의 웹사이트에서 데이터를 변경 또는 철회하는 방법을 지적했습니다.
  • 고객이 자신에게 영향을 미치는 GDPR 원칙 위반으로 귀하를 보고할 수 있는 방법에 대한 지침을 추가했습니다.
  • 귀하는 동의 철회에 대해 고객에게 불이익을 주지 않는다는 점을 지적했습니다.
  • 개인 정보 보호 정책에 DPO의 이메일 주소를 포함했습니다.
  • 웹사이트 바닥글의 눈에 띄는 위치에 개인정보 보호정책 링크를 포함했습니다.

동의 관리

  • 언제, 어디서, 어떻게 각 고객의 동의를 받았는지 기록합니다.
  • 고객이 제공한 정확한 정보를 기록합니다.
  • 관계, 처리 및 목적이 변경되지 않았는지 정기 점검을 적용할 시기를 이미 정했습니다.
  • 사용자 데이터를 새로 고칠 기간을 이미 예약했습니다.

이메일 주소, 이름, 사용자 ID, 위치 데이터, 거래 ID, IP 주소를 포함한 고객의 개인 데이터를 코드 수준에서 Google Analytics로 보내지 않도록 하십시오. 자세한 내용은 이 Google 기사 를 읽어보세요.

불행히도 사용자는 대부분의 동의를 긍정적으로 클릭하는 데 익숙해졌습니다. 따라서 고객이 어떤 데이터를 남기는지 이해할 수 있도록 추가 재동의 팝업을 만드는 것이 좋습니다.

위험 평가

  • 데이터 보호 전문가 팀은 회사가 수집하는 특정 데이터, 처리 방법 및 대상을 지적해야 하는 문서인 위험 평가를 준비해야 합니다.
  • 위험을 분석하고 잠재적인 약점을 발견했으며 문제가 발생할 경우 조치를 예측했습니다.

이 문서를 웹사이트에 업로드할 필요는 없지만 불만을 접수할 때 조치를 취하는 데 강력한 법적 근거가 될 수 있습니다.

GDPR 요약을 작성해 보겠습니다.

오늘날 GDPR은 아직 초기 단계에 있으며 시간이 지나면서 발전할 것입니다. 그럼에도 불구하고 이는 비즈니스 투명성에 대한 글로벌 추세 측면에서 고객에 대한 일반적인 예의입니다.

  • 고객이 어떤 종류의 개인 정보를 남길 수 있는지 결정하게 하십시오.
  • 데이터를 처리할 수 있는 대상과 이유를 알도록 도와주세요.
  • 개인 정보를 요청하거나 동의를 철회하거나 구독을 취소하는 방법을 알려주십시오.
  • 청중에게 말할 때 간단한 언어를 사용하십시오. 카피라이터에게 아무도 이해하지 못하는 수천 개의 쓸모없는 법률 용어를 사용하도록 요청할 필요가 없습니다.
  • 동의 양식을 다시 디자인하십시오.
  • 이메일 마케팅 대상을 신중하게 타겟팅하십시오.
  • 데이터 보호 책임자에 대한 책임을 작성하십시오. 별도의 이메일 주소를 활성화합니다.
  • 수신 및 처리한 모든 사용자 정보를 기록해 두십시오.
  • 서비스 약관 및 개인정보 보호정책 파일을 업데이트하십시오.

이를 위해서는 시간과 자원이 필요하다는 것을 알고 있습니다. 그러나 규정을 준수하기 위한 귀하의 노력과 노력은 고객의 신뢰를 얻을 것입니다.